Sul blog di Kaspersky si racconta la storia di come una donna si stata truffata con un trucco subdolo ma efficace. La donna, di nome Marcie, decide di vendere il suo iPhone X per passare ad un nuovo modello e inserisce un annuncio su eBay e Craigslist.
Inserito l’annuncio, qualcuno si fa subito vivo. Una donna dai modi apparentemente gentili le scrive che suo marito vorrebbe comprare l’iPhone ma è sempre molto occupato e non ha possibilità di accordare un appuntamento se non alla fine di quella settimana; sembra gradire che il dispositivo sia in perfette condizioni riferendo di essere pronta a pagare in anticipo il telefono per poi ritirarlo successivamente.
Per verificare che lo smartphone sia funzionante in tutto e per tutto, la donna chiede a Marcie di inserire l’ID Apple di suo marito sul dispositivo. Se tutto le sembra a posto, la signora avrebbe effettuato immediatamente il bonifico per il pagamento.
Marcie da l’ok a quanto richiesto dalla potenziale acquirente; quest’ultima invia e-mail e password dell’ID Apple “di suo marito” e l’inserzionista conferma alla signora che è tutto pronto per verificare il funzionamento dell’iPhone.
A questo punto viene attivata la truffa: sul display del dispositivo appare un messaggio spiegando che è stato bloccato e qualcuno a quel certo indirizzo e-mail verrà contattato per sbloccarlo.
Non c’è modo di andare oltre la schermata con il messaggio: il telefono è stato bloccato. La “signora” (ovviamente una falsa identità) non risponde più ai messaggi di Marcie, la quale manda un’e-mail al indirizzo e le viene risposto che, per riavere indietro il telefono, deve fare un versamento in criptovalute.
Ovviamente non c’è garanzia che Marcie non venga raggirata nuovamente. L’iPhone in questo stato è ora un inutile mattoncino.
Cosa imparare da questa lezione? Nel momento in cui permettete che qualcuno inserisca il proprio ID Apple sul vostro dispositivo, a tutti gli effetti il dispositivo non è più in vostro possesso. E se ad impossessarsene sono dei cybercriminali, non sarà per niente facile riaverlo indietro: dopo aver ingannato la vittima, i cybercriminali bloccano il dispositivo mediante la funzionalità su iCloud “Find my iPhone”.
Questa funzionalità è stata creata per evitare che uno sconosciuto possa accedere ad un dispositivo ritrovato. Sullo schermo saranno visualizzati i contatti per consentire a chi ha trovato il telefono di mettersi in contatto con il legittimo proprietario. In questo caso il dispositivo non è stato smarrito; tuttavia, non appena la vittima inserisce l’ID Apple di un’altra persona, il telefono viene aggiunto immediatamente all’elenco dei dispositivi associati all’iCloud di questa persona, e da lì non si torna più indietro.
Insomma, una funzionalità utile si trasforma in qualcosa di dannoso se lo scopo cambia: i cybercriminali utilizzano il Find my iPhone per bloccare iPhone e iPad per poi richiedere un riscatto.
Una tecnica di ingegneria sociale molto utilizzata, spiega ancora Kaspersky, è quella di raggirare gli utenti dei forum che riguardano il mondo Apple, chiedendo loro di poter inserire il proprio ID Apple usando pretesti tipo “il mio telefono è morto, tutti i miei contatti sono su iCloud, devo chiamare urgentemente il mio capo, per favore datemi una mano”, o cose del genere. Se capitasse una situazione simile e se si avessero e-mail e password dell’ID Apple, non basterebbe soltanto collegarsi alla versione web di iCloud e mettere tutto a posto? E invece no.
L’account del cybercriminale è protetto dall’autenticazione a due fattori per cui, quando ci si collega su iCloud, bisogna inserire anche il codice inviato a uno dei dispositivi. E, naturalmente, solo i cybercriminali vi hanno accesso, per cui essere a conoscenza del solo ID Apple non è sufficiente.
Morale della storia raccontata sul blog di Kaspersky: non inserite mai l’ID Apple di qualcun altro sul vostro dispositivo. Anche se ve lo chiedono con modi gentili e apparentemente innocui. A questo indirizzo l’esperienza del nostro redattore Matteo Discardi con l’iPhone rubato.
